無伺服器計算平面網路
本指南介紹可在 Azure Databricks 無伺服器計算平面和客戶資源中的計算資源之間保護網路存取的工具。 若要深入瞭解控制平面和無伺服器計算平面,請參閱 Azure Databricks 架構概觀。
若要深入瞭解傳統計算和無伺服器計算,請參閱<計算類型>。
重要
從 2024 年 12 月 4 日起,Databricks 將開始收取連線到外部資源的無伺服器工作負載的網路成本。 計費會逐漸實作,而且您可能在 2024 年 12 月 4 日之後才收費。 在啟用計費之前,您不會回溯收取使用量費用。 啟用計費之後,您可能會向您收取:
- 透過 Private Link 私人連線到您的資源。 透過 Private Link 與資源的私人連線,會無限期免除數據處理費用。 將會套用每小時費用。
- 透過 NAT 閘道與資源的公用連線。
- 產生的數據傳輸費用,例如當無伺服器計算和目標資源位於不同區域時。
無伺服器計算平面網路概觀
無伺服器計算資源會在由 Azure Databricks 管理的無伺服器計算平面中執行。 帳戶管理員可以設定無伺服器計算平面與其資源之間的安全連線。 下圖中將此網路連線標示為 2:
控制平面與無伺服器計算平面之間的連線一律會透過雲端網路骨幹,而不是公用因特網。 如需在圖表中設定其他網路 connections 安全性功能的詳細資訊,請參閱 網路功能。
什麼是無伺服器輸出控制項?
無伺服器出口控制可讓您管理無伺服器計算資源的外出網路 connections。
使用網路原則,您可以:
- 增強安全性:藉由限制輸出 connections來降低數據外泄風險。
- 定義精確的規則:藉由指定允許的位置、connections、FQDN 和 Azure 記憶體帳戶來控制輸出 connections。
- 簡化管理:輕鬆地在無伺服器環境中設定和管理輸出原則。
請參閱 什麼是無伺服器輸出控制項?
什麼是網路連線設定 (NCC)?
無伺服器網路連線是使用網路連線設定 (NCC) 進行管理。 NCC 是帳戶層級的區域建構,可用來大規模管理私人端點建立和防火牆啟用。
帳戶管理員會在帳戶控制台中建立 NCC,而 NCC 可以附加至一或多個工作區。 NCC 會啟用防火牆和私人端點:
- 子網的資源防火牆啟用:NCC 會啟用 Databricks 管理的穩定 Azure 服務子網,以將服務端點新增至您的資源防火牆,以保護從無伺服器 SQL 倉儲存取 Azure 資源的安全。 當 NCC 連結至工作區時,該工作區中的無伺服器計算會使用其中一個網路,使用服務端點來連線 Azure 資源。 您可以在 Azure 資源防火牆上允許 list 這些網路。 網路規則會自動新增至工作區儲存體帳戶。 請參閱設定供無伺服器計算存取的防火牆。
- 私人端點:當您在 NCC 中新增私人端點時,Azure Databricks 會為您的 Azure 資源建立私人端點要求。 在資源端接受要求之後,私人端點會用來從無伺服器計算平面存取您的 Azure 資源。 請參閱從無伺服器計算設定私人連線能力。